Gemeinsame Verantwortung mit Facebook für den „Gefällt-mir“-Button

Gemeinsame Verantwortung mit Facebook für den „Gefällt-mir“-Button

Bin ich bei Nutzung des „Gefällt-mir“-Buttons von Facebook für die Datenverarbeitung, die dadurch ausgelöst wird, (mit-)verantwortlich? Ja, sagt der Generalanwalt des Europäischen Gerichtshofs (EuGH).

In der Rechtssache „Fashion ID“  beim EuGH geht es um die Frage, wie die datenschutzrechtliche Verantwortung des Webseitenbetreibers aussieht, der Tools oder Plugins einsetzt, die eine Datenverarbeitung durch/für/mit Dritte(n) auslöst. Das beklagte Unternehmen „Fashion ID“ ist ein deutscher, zum Peek&Cloppenburg-Konzern gehörender Online-Händler für Modeartikel. Es hat auf seiner Webseite den bekannten „Gefällt-mir“-Button von Facebook als Plugin eingebunden. Beim Besuch der Webseite werden damit automatisch personenbezogene Daten des Nutzers wie IP-Adresse und Browser-String an Facebook übermittelt. Dies geschieht unabhängig davon, ob der Nutzer den „Gefällt-mir“-Button angeklickt hat oder über ein Facebook-Nutzerkonto verfügt. Die Verbraucherzentrale NRW erhob eine Unterlassungsklage gegen die Beklagte mit der Begründung, die Verwendung des „Gefällt mir“-Buttons verstoße gegen Datenschutzrecht. Das OLG Düsseldorf hat das Verfahren ausgesetzt und dem EuGH vorgelegt.

Bislang wird der Einsatz solcher Plugins in der Regel so beurteilt, dass der Webseitenbetreiber ein berechtigtes Interesse an der Datenverarbeitung durch solche Buttons hat. Denn nach Artikel 6 Absatz 1 Buchstabe f) DSGVO i.V.m. Erwägungsgrund 47 dürfen personenbezogene Daten grundsätzlich zum Zwecke der Direktwerbung verarbeitet werden. Es sei denn, die Interessen der Betroffenen überwiegen.

Wir haben aber in den letzten Urteilen des EuGH schon die klare Tendenz gesehen, dass es sich bei einer solchen Konstellation eher um die für uns in Deutschland neue Konstruktion der gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO handelt. Man denke nur an die bekannte Entscheidung des EuGH zu den Facebook Fanpages, wo bereits so entschieden wurde. Der EuGH sagte dazu, dass auch bei bloßer untergeordneten Beteiligung des Seitenbertreibers an der Datenverarbeitung eine gemeinsame Verantwortung mit Facebook vorliegt. Denn ohne die Fanseite gäbe es auch die darauf basierende Datenverarbeitung durch Facebokk nicht. Also hat der Ersteller und Betreiber der Fanseite eine Mitverantwortung daran. Selbst wenn er die Datenverarbeitung weder kontrolliert noch beeinflusst.

Und genau in diesem Sinne hat nun der Generalanwalt des EuGH seine Anträge in der Sache „Fashion ID“ begründet. Er stellt auf den dem Webseitenbetreiber zugute kommenden Nutzen, sowie sein aktives Handeln zum Einbinden des Plugins ab. Durch die Einbindung des Plugins ermögliche er es Facebook, personenbezogene Daten der Nutzer zu erhalten und profitiere selbst von der durch den Klick auf den Button generierten Werbung. Die Haftung des Webseitenbetreibers müsse aber auf die Phase der Datenverarbeitung beschränkt sein, an der er tatsächlich beteiligt ist und dürfe nicht auf etwaige nachfolgende Phasen erstreckt werden.

Ob für die streitgegenständliche Erhebung und Übermittlung personenbezogener Daten eine Einwilligung erforderlich ist, lässt der Generalanwalt aber offen. Sollte dies der Fall sein, sei diese gegenüber dem Betreiber der Webseite zu erklären. Stütze sich der Datenverarbeiter hingegen auf berechtigte Interessen, sei auf die Interessen beider Verantwortlichen abzustellen. Diese seien gegen die Interessen der betroffenen Nutzer abzuwägen. Ferner sei der Betreiber der Webseite verpflichtet, dem Nutzer die wesentlichen, ihm bekannten Informationen zu der gemeinsamen Verantwortlichkeit für die Datenverarbeitung zur Verfügung zu stellen. Die Einwilligung, sofern erforderlich, und die Bereitstellung der Informationen müssten zweifelsfrei vor Erhebung und Übermittlung der Daten erfolgen; dies gelte unabhängig davon, ob die betroffene Person über ein Facebook-Nutzerkonto verfügt.

Es gibt jetzt noch kein Urteil des Gerichts, denn es entschiedet natürlich unabhänging von den Anträgen des Generalanwalts. Aber es folgt ihm eben auch sehr oft. Und die Anträge entsprechen ja auch der Rechtsprechung des Gerichts. Ich gehe daher davon aus, dass der EuGH diesen Anträgen folgen wird.

Meinung von Fachanwalt für IT-Recht Timo Schutt:

Die Entscheidung des EuGH wird erhebliche praktische Bedeutung haben. Wenn das Gericht den Anträgen folgt, was anzunehmen ist, dann wären Webseitenbetreiber bei jeder Einbindung von Drittinhalten mit dem jeweiligen Dritten gemeinsam für die Datenverarbeitung verantwortlich. In der Praxis beduetet das vor allem, dass die Datenschutzhinweise der Webseitenbetreiber angepasst werden müssen, aber vor allem auch, dass es eine gesonderte vertragliche Vereinbarung zwischen dem Webseitenbetreiber und dem jeweiligen Dritten nach Art. 26 DSGVO geben muss.

Wenn der EuGH zusätzlich noch eine Einwilligung der betroffenen Nutzer für erforderlich hält, dann müsste diese Einwilligugn sofort beim Aufruf der Website eingeholt werden. Das wäre dann bspw. mit einem Banner mit konkreter Einwilligungserklärung möglich, dass dann anzuklicken ist. Aber erst danach dürfen die Daten fließen. Und es muss auch die Möglichkeit geben die Einwilligung zu verweigern.

Normalerweise erfolgt die Übermittlung der personenbezogenen Daten der Webseitennutzer automatisch beim Laden der Website. Das kann bspw. durch Einbindung besonderer Plugins, wie der Shariff-Lösung, einem Open-Source-Programm von heise-online und c’t zur Verbesserung des Datenschutzes, vermieden werden. Solange der Nutzer nicht auf den Button klickt, um Inhalte zu teilen, bleibt er mit den Social-Media-Buttons von Shariff für Facebook & Co. unsichtbar.

Es ist allen Webseitenbreibern zu raten sich schon jetzt auf diese neue Rechtslage einzustellen, zumindest was die gemeisname Verantwortlichkeit betrifft. Nachdem bereits die deutsche Datenschutzkonferenz davon asugeht, dass bei Tracking-Tools immer eine Einwilligung gebraucht wird, sollte man sich auch auf diese Änderung jetzt schon gefasst machen.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag: